-
Junior Member
- Вес репутации
- 51
Подозрение на сетевой червь
Процесс svchost.exe постоянно грузится из интернета по адресу cds163.ams9.msecn.net:http. Интернет через локальную сеть. Windows XP SP3, недавно переустановлен. Критические обновления поставил. Предыдущая винда была инфицирована несколькими вирями, в т ч Win32 HLLW Lime 18 и Win32 Palevo aa....
Что-то с инсталлятором: с диска D не устанавливаются проги, хотя с флешки идут. Никак не устанавливается никакой MS Office, пишет, что не может получить доступ к защищенным файлам Windows. В доступе и разрешениях вроде все нормально.
Было подозрение на Kido, но Kidokiller ничего не нашел. DrWeb Cureit тоже ничего не нашел. MBAM ругался на 4 записи реестра:
"Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\NoSMHelp "
Записи удалил.
GMER тоже нашел записи реестра. AVZ и HJT тоже что-то понаходили, логи прилагаю -проверьте, пожалуйста, логи.
Логи MBAM, GMER и RSIT могу вставить при необходимости.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('wscsvc');
RegKeyStrParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wscsvc', 'ImagePath', GetEnvironmentVariable('SystemRoot')+'\System32\svchost.exe -k netsvcs');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
Карантин отправил. Логи прилагаю.
-
выполните такой скрипт
Код:
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wscsvc исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'log.txt');
end.
файл log.txt прикрепите к сообщению
-
-
Junior Member
- Вес репутации
- 51
-
-
-
Junior Member
- Вес репутации
- 51
MBAM нашел несколько файлов на диске D, но это все крэки и чит-коды. Лог прилагаю.
-
лучше от них избавиться
Добавлено через 48 секунд
еще что-нибудь беспокоит?
Последний раз редактировалось polword; 25.05.2010 в 16:57.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 51
Спасибо.
Осталась проблема:
Сообщение от
vergere
Что-то с инсталлятором: с диска D не устанавливаются проги, хотя с флешки идут. Никак не устанавливается никакой MS Office, пишет, что не может получить доступ к защищенным файлам Windows. В доступе и разрешениях вроде все нормально.
Мне говорили, что побиты инсталляторы, надо их заново устанавливать. Если это так, подскажите пожалуйста, как это сделать.
И еще: при загрузке Windows антивирус запускается в "отключенном" режиме, приходится вручную включать защиту. (Microsoft Security Essentials)
-
- Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 51
Скрипт выполнил. Лог прилагаю. Проблема не исчезла.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 20
- В ходе лечения вредоносные программы в карантинах не обнаружены
-